練習用脆弱Webアプリケーションの調査
無料で使える練習用脆弱Webアプリケーション(やられWebアプリケーション?)は、結構いろいろあってそれぞれ何が違うのかが分かりにくいです。一度整理してみたかったのでいくつか調べてみました。 OWASP BWA (Broken Web Applications Project)公式サイトowaspbwa – OWASP Broken Web Applications Project – Google Project HostingOWASP Broken Web ApplicationsメモVMwareイメージで配布されている。VirtualBoxでも使用可2013年9月27日に、バージョン 1.1.1 がリリースされた(ファイル名は、OWASP_Broken_Web_Apps_VM_1.1.1.7z)。いろいろなオープンソースのアプリケーションが含まれている。OWASP WebGoatO
OWASP BWA (The Broken Web Applications) とは?
Software WebSecurity OWASP BWA (The Broken Web Applications) とは?※当サイトにはプロモーションが含まれています。 概要 以前、練習用脆弱Webアプリケーションの調査 という記事でも取り上げましたが、OWASP BWA(The Broken Web Applications)は、意図的に脆弱性を持たせたWebアプリケーションを複数導入した状態のUbuntu(Linuxのディストリビューションの1つ)を仮想マシンイメージにしたものです。 公式サイトでは以下のように説明されています。 BWA (The Broken Web Applications) プロジェクトは、既知の脆弱性を持ったいろいろなアプリケーションを稼働させる仮想マシンを提供します。これは以下のような人達を対象としています。 ウェブアプリケーションのセキュリティを学びた
OWASP ZAP | OWASP Foundation
The OWASP® Foundation works to improve the security of software through its community-led open source software projects, hundreds of chapters worldwide, tens of thousands of members, and by hosting local and global conferences. Project Information Flagship Project Classification Tool Audience Breaker Builder Downloads Download OWASP ZAP! Questionnaire Please help us to make ZAP even better for you
OWASP ZAPでWEBサイトの脆弱性を簡易チェックする方法まとめ | Lancork
※当ブログではアフィリエイト広告を利用しています。 ひょんなことからWEBサイトの脆弱性をチェックする機会がありました。 オープンソースの脆弱性チェックツール「OWASP ZAP」でWEBサイトの脆弱性を簡単にチェックしてみたため、その方法をまとめてみます。 1.OWASP ZAPとは? OWASP(Open Web Application Security Project)が提供している、WEBサイトの脆弱性を診断するためのぺネトレーションテストツールです。オープンソースで、無料で使用できます。 診断可能な脆弱性の代表的な例 クロスサイトスクリプティング(反射型) SQLインジェクション CRLF インジェクション パラメータタンパリング パストラバーサル 2.OWASP ZAPのインストール(Windows) 2-1.下記ページ中央の「Download ZAP」より、ダウンロードページ
OWASP ZAP ハンズオンセミナー 「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」第一回~第三回の内容まとめ・前編
OWASP ZAP ハンズオンセミナー 「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」第一回~第三回の内容まとめ・前編 8月から毎月一度開催されている「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」という、OWASP ZAPハンズオンセミナーに第一回から第三回まで参加し、講師の方に全体的な内容のまとめ&ブログ掲載の許可をいただいたので、これまで私がセミナーで学んだ内容を全部まとめてみます。 時系列に沿ったまとめではなく、セミナーの内容を頭から自習できるような一本の記事に再構成しました。 ブログ記事へのまとめ・編集による間違いやミスの混入の責任は私にあります。 また、一部、セミナーの時にとったメモを見ながら不明点を手元で確かめて書いている箇所があります。 リンク セミナーの案内ページ(セキュリティ診
OWASP Zed Attack Proxy (ZAP)で脆弱性検査する方法
OWASP Zed Attack Proxy (ZAP)の使い方の例をいくつかメモします。各操作の細かい説明は別の記事で書くかもしれません。 ※ 本記事で使用するOWASP ZAPのバージョンは、2.2.2です。 使い方1:ローカル・プロキシとしてブラウザの通信内容をチェックするOWASP ZAPをローカルのプロキシとして使用し、ブラウザの通信をOWASP ZAP経由で行います。その後、記録された通信内容を確認する、といった使い方です。 OWASP ZAPを起動します。ブラウザを起動します。ブラウザのプロキシ設定で、OWASP ZAPの動作するホストとポート番号をセットします。ブラウザ上で診断の対象となるWebサイトにアクセスします。目的のページで目的の動作を行います。OWASP ZAPの[サイト]タブで、目的のリクエスト(URL)をクリックし、[リクエスト]タブや[レスポンス]タブで通信
OWASP Zed Attack Proxy (ZAP)とは?
オープンソースの脆弱性検査ツールであるOWASP Zed Attack Proxy(ZAP)について説明します。 概要OWASP Zed Attack Proxy (ZAP)の公式サイトによると以下のように説明されています(翻訳してみました)。 The Zed Attack Proxy (ZAP)は、Webアプリケーションの脆弱性を見付けるための簡単に使える統合ペネトレーションテストツールです。幅広いセキュリティの経験を持った人々に使って貰えるようにデザインされており、またペネトレーションテストをしたことがない開発者や機能テスターにとっても理想的なものになっています。 ZAPは手動で脆弱性を見付けることができるツール群はもちろんのこと、自動スキャナーも提供します。 OWASP Zed Attack Proxy Project 基本的な情報OWASP のプロジェクトの1つで、2010年9月
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
